소모임 & 잡담
![[레벨:4]](http://old.lameproof.com/modules/point/icons/default/4.gif "포인트:1785point (42%), 레벨:4/30"){kind=icon}
kesiahttp://goo.gl/MSkrp
처음 공개한 ppt 파일인데.. 저는 프로그램이 없어서 ㅡㅡㅠ 못봤는데.. 가려진 부분 클릭하면 볼수 있다고 하네요
지금은 pdf로 변경되었다고 합니다. ㅡㅡㅋ
내용 요약점... ;;
처음 공개한 ppt 파일인데.. 저는 프로그램이 없어서 ㅡㅡㅠ 못봤는데.. 가려진 부분 클릭하면 볼수 있다고 하네요
지금은 pdf로 변경되었다고 합니다. ㅡㅡㅋ
내용 요약점... ;;
2011.05.06 10:42:05 (*.131.104.198)
![[레벨:3]](http://old.lameproof.com/modules/point/icons/default/3.gif "포인트:1090point (44%), 레벨:3/30"){kind=icon}
Format 내용을 충실히 가려놨는데.. 이미지 이동하면 내용이 다 보이네요... 뭐지.. 뭐하려 가려 놓은걸까...
2011.05.06 10:47:46 (*.149.203.47)
레세르제 해킹 시나리오, 방법, 백업 구조, 사용된 명령어 등등에 대해서 브리핑하는 자료입니다. 그런데 ppt로 공개하면 이미지로 가려둔 명령어나 보안키 등이 다 보이는데...
2011.05.06 11:06:36 (*.193.104.231)
![[레벨:9]](http://old.lameproof.com/modules/point/icons/default/9.gif "포인트:7308point (1%), 레벨:9/30"){kind=icon}
PPT에 있는 내용을 요약하면...
해커가 노트북에 감시용으로 "백도어, 키로깅, 화면캡처, 도청, 공격명령 서버목록" / 공격용으로 "파괴대상 서버목록, 서버유형별 삭제명령, 삭제실행, 공격명령 모니터링" / 범행은폐용으로 "관련 악성코드 삭제, 복구 불가능화" 프로그램 등등 총 81개의 악성코드를 심었다고 합니다.
이걸 이용해서 노트북에 공격명령을 내리면 1차로 NIM과 HMC를 통해 내부서버와 웹서버를 공격하고, NIM을 통해 2차 공격을 다시 2차 서버를 통해 3차 공격을 시행하고 HMC를 이용해서 웹서버를 다이렉트로 공격했다고 하는군요.
그리고 이 서버들을 공격한 상황이 모두 노트북으로 전송되고, 이것을 해커가 모니터링 하고 있다가 일정 수준에 달하면 흔적을 삭제하는 방식으로 범행이 이루어졌다고 합니다.
검찰 조사에 의하면 2010년 9월 4일에 웹사이트로부터 악성코드가 감염된 것으로 확인했고, 2010년 10월 22일에 키로깅 프로그램 설치, 2011년 3월 11일에 백도어 프로그램 설치, 2011년 3월 22일에 파일삭제관련 프로그램을 설치한 것으로 알아냈고, 2011년 4월 12일 아침 8시 쯤에 공격명령 파일을 설치해서 4월 12일 오후 5시경 시작을 명령했다고 합니다.
이후 파괴시작 약 1분 사이에 서버장애 발생을 최초로 인식해서 SMS 수신을 했고, 5시 정각에 rm dd 명령 실행을 확인했으며, 5시 10분 경에 공격한 노트북의 IP를 파악했다고 합니다. 이후 12일 5시 20분 경에 노트북에서 공격악성코드가 삭제됐고, 30분 쯤에 HMC 콘솔을 이용해 서버 셧다운이 시작됐다고 합니다.
키로깅을 통해 IP와 비밀번호를 취득했고, 악성코드의 암호화 방식은 3.3 DDoS의 A로 시작하는 45자 암호키가 100% 동일하고 삭제대상 파일의 확장자를 비교한 결과 뉴스에도 한 번 언급됐던 7.7 DDoS 암호키와는 29개 일치로 93%, 3.4 DDoS 암호키와는 31개로 100% 일치한다고 합니다.
7.7, 3.4 모두 악성코드의 감염경로는 웹하드 사이트, 유포수법은 웹하드 사이트의 자동 업데이트를 위장한 것으로 밝혀졌으며, 공격명령 IP는 7.7의 경우 총 50개국 538개의 IP, 3.4의 경우 총 70개국 748개의 IP로 공격했고, 3.4 IP 중에는 7.7과 3개의 IP가 일치했다고 합니다.
공격구조는 3.4, 7.7 모두 공격프로그램과 공격명령, 서버목록을 분리시켜 공격했고, 분석을 곤란하게 하기 위해서 7.7 코드는 문자열을 조합시켜 교란을, 3.4에는 치환이 없었다고 하네요. 암호화 기법의 경우, 7.7은 아직 확인이 안 됐고, 3.4는 자체 제작의 암호 기법이었다고 합니다.
최종적으로 농협 서버에 침투된 것은 감염경로와 유포수법은 모두 동일, 공격명령 IP는 총 13개국 27개의 IP로 이중 3.4와 1개가 일치했으며, 공격구조 동일, 비교대상 확장자 검사 결과 총 31개 3.4와 100% 동일, 분석방해 수법은 문자열 조합인 7.7과 동일, 암호화 기법은 3.4의 자체 제작과 동일했다고 합니다.
해커가 노트북에 감시용으로 "백도어, 키로깅, 화면캡처, 도청, 공격명령 서버목록" / 공격용으로 "파괴대상 서버목록, 서버유형별 삭제명령, 삭제실행, 공격명령 모니터링" / 범행은폐용으로 "관련 악성코드 삭제, 복구 불가능화" 프로그램 등등 총 81개의 악성코드를 심었다고 합니다.
이걸 이용해서 노트북에 공격명령을 내리면 1차로 NIM과 HMC를 통해 내부서버와 웹서버를 공격하고, NIM을 통해 2차 공격을 다시 2차 서버를 통해 3차 공격을 시행하고 HMC를 이용해서 웹서버를 다이렉트로 공격했다고 하는군요.
그리고 이 서버들을 공격한 상황이 모두 노트북으로 전송되고, 이것을 해커가 모니터링 하고 있다가 일정 수준에 달하면 흔적을 삭제하는 방식으로 범행이 이루어졌다고 합니다.
검찰 조사에 의하면 2010년 9월 4일에 웹사이트로부터 악성코드가 감염된 것으로 확인했고, 2010년 10월 22일에 키로깅 프로그램 설치, 2011년 3월 11일에 백도어 프로그램 설치, 2011년 3월 22일에 파일삭제관련 프로그램을 설치한 것으로 알아냈고, 2011년 4월 12일 아침 8시 쯤에 공격명령 파일을 설치해서 4월 12일 오후 5시경 시작을 명령했다고 합니다.
이후 파괴시작 약 1분 사이에 서버장애 발생을 최초로 인식해서 SMS 수신을 했고, 5시 정각에 rm dd 명령 실행을 확인했으며, 5시 10분 경에 공격한 노트북의 IP를 파악했다고 합니다. 이후 12일 5시 20분 경에 노트북에서 공격악성코드가 삭제됐고, 30분 쯤에 HMC 콘솔을 이용해 서버 셧다운이 시작됐다고 합니다.
키로깅을 통해 IP와 비밀번호를 취득했고, 악성코드의 암호화 방식은 3.3 DDoS의 A로 시작하는 45자 암호키가 100% 동일하고 삭제대상 파일의 확장자를 비교한 결과 뉴스에도 한 번 언급됐던 7.7 DDoS 암호키와는 29개 일치로 93%, 3.4 DDoS 암호키와는 31개로 100% 일치한다고 합니다.
7.7, 3.4 모두 악성코드의 감염경로는 웹하드 사이트, 유포수법은 웹하드 사이트의 자동 업데이트를 위장한 것으로 밝혀졌으며, 공격명령 IP는 7.7의 경우 총 50개국 538개의 IP, 3.4의 경우 총 70개국 748개의 IP로 공격했고, 3.4 IP 중에는 7.7과 3개의 IP가 일치했다고 합니다.
공격구조는 3.4, 7.7 모두 공격프로그램과 공격명령, 서버목록을 분리시켜 공격했고, 분석을 곤란하게 하기 위해서 7.7 코드는 문자열을 조합시켜 교란을, 3.4에는 치환이 없었다고 하네요. 암호화 기법의 경우, 7.7은 아직 확인이 안 됐고, 3.4는 자체 제작의 암호 기법이었다고 합니다.
최종적으로 농협 서버에 침투된 것은 감염경로와 유포수법은 모두 동일, 공격명령 IP는 총 13개국 27개의 IP로 이중 3.4와 1개가 일치했으며, 공격구조 동일, 비교대상 확장자 검사 결과 총 31개 3.4와 100% 동일, 분석방해 수법은 문자열 조합인 7.7과 동일, 암호화 기법은 3.4의 자체 제작과 동일했다고 합니다.
![[레벨:6]](http://old.lameproof.com/modules/point/icons/default/6.gif "포인트:4093point (72%), 레벨:6/30"){kind=icon}
Fastone
2011.05.06 14:06:38 (*.37.109.86)
W-T 그런데 컴파일된 프로그램에서 저렇게 소스코드를 뽑아낼수 있나요.
해킹된 컴퓨터에서 코딩해서 컴파일했을리는 없을거고...
해킹된 컴퓨터에서 코딩해서 컴파일했을리는 없을거고...
2011.05.06 14:24:35 (*.213.167.90)
![[레벨:7]](http://old.lameproof.com/modules/point/icons/default/7.gif "포인트:4676point (19%), 레벨:7/30"){kind=icon}
Excelsis 컴파일된 프로그램에서 소스코드를 완전히는 못 빼도 비슷하게 만들 수는 있습니다
특히 C/C++의 경우 변수명을 제외한 부분에서 거의 동일하게 만들 수도 있습니다.
특히 C/C++의 경우 변수명을 제외한 부분에서 거의 동일하게 만들 수도 있습니다.
2011.05.06 17:16:53 (*.106.95.139)
Zenon 소스코드를 완전히 뽑아내는건 아니더라도 어느정도 '이렇게 구현했겠거니...' 하면서 분석할 수는 있습니다.
이 분야를 리버스 엔지니어링이라고 하며, 위의 내용정도는 리버싱으로 분석이 가능합니다. 물론 쉽다는 예기는 절대 아닙니다 ㅇㅅㅇ
이 내용을 읽고 있으면 왜 이것도 북때문이라는 추측이 나오는건지 알만합니다. 디도스를 북의 행위라고 사실상 단정하고 있는데
마침 터진 해킹사건도 굉장히 유사한 프로그램으로 지령을 내렸으니 말이죠. 다만 디도스 악플 분석할때 제대로 북이 했다는 증거를 들고 있냐가 문젠데...ㅇㅅㅇ
이 분야를 리버스 엔지니어링이라고 하며, 위의 내용정도는 리버싱으로 분석이 가능합니다. 물론 쉽다는 예기는 절대 아닙니다 ㅇㅅㅇ
이 내용을 읽고 있으면 왜 이것도 북때문이라는 추측이 나오는건지 알만합니다. 디도스를 북의 행위라고 사실상 단정하고 있는데
마침 터진 해킹사건도 굉장히 유사한 프로그램으로 지령을 내렸으니 말이죠. 다만 디도스 악플 분석할때 제대로 북이 했다는 증거를 들고 있냐가 문젠데...ㅇㅅㅇ